Beleid over datalekken blijkt vaak onterecht een ondergeschoven kindje bij veel bedrijven. Hoe vaak wordt u als advocaat bijvoorbeeld gevraagd om hierover te adviseren? Waarschijnlijk niet vaak, terwijl dit anders zou zijn als ondernemers beseffen wanneer er sprake is van datalekken. Want dit is al snel het geval.
Veel voorkomende datalekken
De Autoriteit Persoonsgegevens noemt de volgende veelvoorkomende gevallen van datalekken:
- Een klant ziet de gegevens van een andere klant in een klantportaal
- Een werknemer raakt een USB-stick of andere gegevensdrager kwijt waarop onversleutelde persoonsgegevens staan
- Een zakelijke laptop of smartphone met daarop persoonsgegevens wordt gestolen
- Een zakelijk poststuk met persoonsgegevens komt niet aan bij de ontvanger of komt geopend terug
- Een zakelijke e-mail met persoonsgegevens komt bij de verkeerde ontvanger terecht
- Verlies van persoonsgegevens door een brand in een datacenter
- Een daartoe onbevoegde werknemer downloadt gegevens uit de persoonsadministratie
Sectoren waar veel persoonsgegevens worden verwerkt, zoals ‘gezondheid en welzijn’, ‘financiële dienstverlening’ en ‘openbaar bestuur’ zijn gevoelig voor datalekken. Een datalek moet – op straffe van een boete – altijd worden gemeld bij de Autoriteit Persoonsgegevens als “het leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. Daarnaast moet de datalek vaak ook worden gemeld aan de betrokkene(n).
Overtreden Wet Meldplicht datalekken kan leiden tot hoge boete
De Wet Meldplicht datalekken (opgenomen in de Wet bescherming persoonsgegevens) bepaalt precies wanneer en aan wie een datalek moet worden gemeld. Voorkomen is beter dan genezen. Dus is het raadzaam als advocaat uw cliënten proactief te adviseren over datalekken. Om te voorkomen dat ze geconfronteerd worden met torenhoge boetes, want die liegen er niet om. Sinds 1 januari 2016 mag de Autoriteit Persoonsgegevens namelijk boetes opleggen tot € 820.000,-, wanneer een datalek niet binnen 72 uur is gemeld. Zeker voor de kleine en middelgrote ondernemers kan dit het einde van hun bedrijf betekenen.
Naast een uiteenzetting van wat datalekken is en waarom en wanneer het moet worden gemeld, is het goed om uw cliënten inzicht te geven in hun eigen beveiliging van persoonsgegevens.
Schakel recherchebureau Heijm in voor forensisch ICT-onderzoek
Om te beoordelen of een cliënt voldoende technische maatregelen heeft genomen om (gelekte) persoonsgegevens te beschermen, is nader ICT-onderzoek nodig. Wanneer uw cliënt onvoldoende technische kennis in huis heeft, is het raadzaam hiervoor een specialist in te schakelen. Met meer dan 25 jaar ervaring is recherchebureau Heijm een expert in het uitvoeren van forensisch ICT-onderzoek. Zowel preventief om het beschermingsniveau te beoordelen, als reactief wanneer er daadwerkelijk data gelekt is.
Preventief ICT-onderzoek: beoordelen van het beschermingsniveau
Recherchebureau Heijm volgt een uitgebreid protocol bij het uitvoeren van een preventief ICT-onderzoek. Deze blog leent zich er niet voor om ieder punt te benoemen, maar de rechercheurs beoordelen onder andere of de versleuteling van persoonsgegevens juist is toegepast. Vertoont het onderliggende algoritme kwetsbaarheden, is de encryptie omkeerbaar of de hashing herhaalbaar? Daarnaast onderzoeken de rechercheurs of het organisatorische beveiligingsbeleid voldoende waarborgen biedt. Welke werknemers zijn bijvoorbeeld allemaal bevoegd tot inzage van persoonsgegevens? Vragen die stuk voor stuk moeten worden beantwoord.
Reactief ICT-onderzoek: welke data is gelekt en door wie?
Is er data gelekt? Dan maakt het forensisch ICT-onderzoek altijd onderdeel uit van een tactisch rechercheonderzoek. De rechercheurs van recherchebureau Heijm, allen afkomstig van de politie, weten immers als geen ander dat een opzichzelfstaand forensisch ICT-onderzoek onvoldoende is om een goed beeld te krijgen van het gebeurde. Wilt u namens uw cliënt de veroorzaker van een datalek aansprakelijk stellen, dan is het belangrijk dat een rechter het verkregen bewijs niet afwijst of als onvoldoende beoordeelt. Nauwkeurig en volledig rechercheonderzoek is daarom nodig. Dus naast het ICT-onderzoek is het bijvoorbeeld ook nodig om getuigen en betrokkenen te horen. Recherchebureau Heijm is gespecialiseerd in het combineren van al deze onderzoekstechnieken en onderscheidt zich hiermee van rechercheurs zonder politieachtergrond.
Heeft u cliënten waarbij de beveiliging van persoonsgegevens een issue is of zou moeten zijn? Neem dan eens vrijblijvend contact op met Recherchebureau Heijm voor meer informatie.
